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© Die Erfindung betrifft ein Verfahren zur Anonymisie- 
rung sensibler Daten innerhalb eines Datenstroms. Erfin- : 
dungsgemafc wird ein Verfahren vorgeschlagen, das die 
Schritte Komprimierung des sensiblen Datenfeldes, An- 
onymisierung des sensiblen Datenfeldes und Kennzeich- 
nung des anonymisierten sensiblen Datenfeldes inner- 
halb des Datenstroms durch Start- und Stopzeichen um- 
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Beschreibung 



V 



genden Schritten vorgeschlagen: 



Die Erfindung betrifft ein Verfahren zur Anonymisierung 
- sensibler Daten innerhalb eines Datenstroms. 

In Datenbanken werden Informationen zur langfristigen 
Aufbewahrung gespeichert. Der Wert solcher Informations- 
sammlungen wird als wesentliches Gut von Organisationen 
angesehen. Aufgrund der Sensitivitat wird im allgemeinen 
der Zugriff auf Datenbanken beschrankt, d. h. dafi der Zu- 
grirT nur fur autorisierte Anwender gemafi deren Rechtepro- 
fil moglich ist. In einem Rechteprofil kann festgelegt wer- 
den, wer auf welche Daten mit welchen Modi (z. B. lesend, 
schreibend) zugreifen kann. Ein gangiges Beispiel ist, dafi 
nicht jeder Mitarbeiter eines Unternehmens Personaldaten 
einsehen kann. Auch gemafi dem "Need to know"-Prinzip 
konnen Mitarbeiter ausschliefilich die Informationen einse- 
hen, die sie zur Ausubung ihrer dienstlichen Tatigkeiten be- 
notigen. Alle weiteren Informationen sind gesperrt. .Fur die 
Vergabe der Zugriffsrechte ist ein Administrator zustandig, 
yon dessen Zuverlassigkeit der Datenschutz im wesentli- 
chen abhangt. 

Zur Datensicherung werden haufig Anonymisierungs ver- 
fahren eingesetzt, die diejenigen Daten, auf die kein Zugriff 
erfolgen soli, anonymisieren. Solche Verfahren werden ins- 
besondere verwendet, wenn Daten einer Datenbank in Form 
eines Datenstroms ubermittelt werden sollen, wobei sicher- 
gestellt werden mufi, dafi auf dem Ubermittlungsweg kein 
unberechtigter Zugriff auf die Daten erfolgt. Ein Anwen- 
dungsbeispiel hierfur ist die Versenduhg eines Datenstroms 
per E-Mail. Dabei haben Sender und Empfanger voile Zu- 
griffsrechte auf alle in der Datenbank enthaltenen Daten. 
Die Daten werden vor Absendung verschliisselt, so dafi An- 
greifer innerhalb des Internets keinen Zugriff auf die Daten 
nehmen konnen. Der Empfanger entschliisselt die Daten 
und kann vollstandigen Zugriff darauf nehmen. 

Bei den bekannten Verfahren zum Schutz von Datenban- 
ken wird die Autorisierung und Rechtepriifung typiseher- 
weise am Datenbank-Front End realisiert. Dies trifft z. B. 
fiir DB2™ von IBM zu. Wird ein hoheres Niveau bzgl. des 
Zugriffsschutzes gefordert, so gibt es kommerzielle Pro- 
dukte, wie z. B. RACF™ (Ressource Access Control Faci- 
lity) von IBM. Die Zugriff skontrolle wird jedoch auch hier 
von einem Administrator kontrolliert. 

Eine klassische Situation, in der die herkommlichen Ver- 
fahren unzureichend sind, ist eine Outsourcer/Insourcer-Be- 
ziehung. Ein Outsourcer lafit bestimmte Dienste durch einen 
Insourcer erbringen und ubergibt dem Insourcer alle dafur 
notwendigen Daten, die beim Insourcer in einer Datenbank 
gespeichert werden. Wenn der Outsourcer aus Datenschutz- 
griinden oder aus Griinden des Kundenschutzes die Weiter- 
gabe von kundenidentifizierenden Daten eigenstandig kon- 
trollieren will, wird mit den bekannten Anonymisierungs- 
verfahren entweder der Zugriff auf die gesamte Datenbank 
unterbunden oder die selektive Kontrolle uber den Zugriff 
auf bestimmte Daten einem Administrator unterstellt, der im 
dem Hause des Insourcers angesiedelt ist. Grundsatzlich 
ware der Zugriff spmit auch auf sensible Daten moglich. 

Es ist Aufgabe der vorliegenden Erfindung, ein Verfahren 
zur Verfugung zu stellen, das den Zugriff auf eine Daten- 
bank ermoglicht, dabei aber bestimmte Daten innerhalb die- 
ser Datenbank vom Zugriff. ausschliefit, ohne die Zuordnung 
der ausgeschlossenen Daten zu den restlichen Daten zu zer- 
storen. Die Datenbank soil zur Bearbeitiing der nicht ge- 
schutzten Daten in dritte Hande gegeben werden konnen, 
ohne dafi die Zugriffskontrolle auf die geschiitzten Daten 
aus der Hand gegeben wird. 

Erflndungsgemafi wird ein Verfahren zur Anonymisie- 
rung sensibler Daten innerhalb eines Datenstroms mit fol- 



a) Anonymisierung des sensiblen Datenfelds; 

b) Kennzeichnung des anonymisierten sensiblen Da- 
5 tenfelds innerhalb des Datenstroms durch Start- und 

Stoppzeichen. 

ErfiridungsgemaB werden die sensiblen Daten innerhalb 
einer Datenbank selektiv anonymisiert. Die anonymisierten 

io Datenfelder werden mit einem Start- und einem Stoppzei- 
chen versehen, um sie fur die spatere Deanonymisierung 
kenntlich zu machen! 

Das erfindungsgemafie Verfahren kann insbesondere ein- 
gesetzt werden, wenn ein Datenbanknutzer Daten in einer 

15 Datenbank ablegt, und Teile der Daten durch einen Daten- 
bankbetreiber bearbeitet werden sollen. Wahrend der Daten- 
banknutzer autorisiert ist, samtliche Daten zii lesen, sollen 
sensible Daten, wie z. B. kundenidentifizierende Informa- 
tionen, fur den Datenbankbetreiber anonymisiert und nicht 

20 deanonymisierbar sein. Die Anonymisierungsinformation 
yerbleibt beim Datenbanknutzer. Die nicht anonymisierten 
Daten konnen vom. Datenbankbetreiber ausgewertet und be- 
arbeitet werden. Die Zuordnung der Daten zueinander bleibt 
erhalteri. 

25 Die sensiblen Daten konnen beispielsweise kundenidenti- 
fizierende Informationen sein, wobei die dem Kunden zuge- 
ordneten Daten zwecks statistischer Auswertung lesbar sein 
sollen. Die Datenbank kann mit dem erfindungsgemafien 
Anonymisierungsverfahren partiell anonymisiert und an 

30 Dritte zur statistischen Auswertung und Bearbeitung weiter- 
gegeben werden. Die kundenidentifizierenden Daten sind 
fur den Dritten nicht lesbar. Die Kontrolle dariiber, welche 
Zugriffsrechte fur welche Personen bestehen, verbleibt beim 
Datenbanknutzer. Die Zuordnung zwischen den bearbeite- 

35 ten Daten und den jeweiligen anonymisierten Daten, wie 
Kundennamen, bleibt erhalten. Nach Ruckgabe der ausge- 
werteten oder bearbeiteten Datenbank an den Datenbank- 
nutzer kann dieser die Deanonymisierung vomehmen und 
die vollstandige, bearbeitete Datenbank nutzen. 

40 Das erfindungsgemafie Verfahren lafit sich insbesondere 
auch dann vorteilhaft anwenden, wenn die sensiblen Daten- 
felder eine vorgegebene Feldlange aufweisen. Es versteht 
sich aber von selbst, dafi das Verfahren ohne Einschrankung . 
auch bei unbegrenzten Feldlangen entsprechend anwendbar 

45 ist. Auch wenn sich die nachfolgenden Ausfuhrungen ver- 
mehrt auf sensible Datenfelder vorgegebener Feldlange be- 
ziehen, ist dies nicht einschrankend zu verstehen. 

Vorteilhaft kann vor der Anonymisierung des sensiblen 
Datenfeldes eine Komprimierung der Daten vorgenommen 

50 werden. Im Falle der vollstandigen Fuming des Datenfeldes 
wird auf diesem Wege Piatz fiir die Hinzufugung von Start- 
und Stoppzeichen zur Kennzeichnung des anonymisierten 
Datenfeldes geschaffen. Die Kennzeichnung ist notwendig 
zur spateren Deanonymisierung des Datenfeldes. 

55 1st das Datenfeld ohnehin nicht vollstandig gefullt, oder 
sind die Daten durch die Komprimierung soweit kompri- 
miert, dafi noch Platz im Datenfeld verbleibt, kann das Da- 
tenfeld vor der Anonymisierung durch Fullzeichen aufge- 
fullt werden. 

60 Es stehen insbesondere zwei Moglichkeiten zur Anony- 
misierung des Datenfeldes zur Verfugung, namlich die 
Pseudonymisierung und die Verschlusselung. 

Ist das Datenfeld vollstandig gefullt, wird vorzugsweise 
eine Pseudonymisierung vorgenommen. Dabei mufi die 
65 Lange des verwendeten Pseudonyms so gewahlt werden, . 
dafi im Datenfeld nach der Pseudonymisierung Platz fur 
Start- und Stoppzeichen verbleibt. 

Verbleibt innerhalb des Datenfeldes noch Platz, so wird 
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das Datenfeld vorzugsweise durch Fiillzeichen, insbeson- 
dere mit zufalligen Werten, zurnindest teiiweise aufgefiillt ~ 
und anschlieBend verschlusselt. 

Die Auffullung des Feldes mit zufalligen Werten sichert 
die Auflosung von Isonomien. Beispielsweise ist es erf or- 5 
derlich, daB haufig auftretende Namen, wie im deutschen 
Sprachraum Miiller, Meier usw. verschieden verschlusselt 
werden, damit iiber eine Analyse der Haufigkeit der Daten 
keine Riickschliisse auf die Daten gezogen werden kann. 
Dies wird mit der Auffullung des Datenfeldes durch zufal- 10 
lige Werte und anschiieBende Verschliisselung erreicht. 

In einer bevorzugten Ausfuhrungsform des erfindungsge- 
maBen Verfahrens werden im verschliisselten Datenfeld 
auch Inform ationen iiber den zur Verschliisselung verwen- 
deten Schliissel abgelegt. Diese Schlusselinformationen die- 15 
nen dem Datenbanknutzer dazu, die verschliisselten Daten 
entschliisseln zu konnen. Auf diesem Wege konnen ver- 
schiederie Schliissel zur Verschliisselung der Daten verwen- 
det werden, wobei jeweils innerhalb des Feldes die entspre- 
chenden Schlusselinformationen zur Identifizierung des 20 
Schliissels abgelegt werden. Es versteht sich von selbst, daB 
der Fullgrad des Feldes so beschaffen oder durch Daten- 
kompression erzeugt werden muB, daB Platz zum Ablegen 
eirier Schliisselinformation verbleibt. 

Das Erkennen, welche Daten zu ver- bzw. entschliisseln 25 
sind, kann durch eindeutige Kennzeichnung durch soge- 
nannte Start- und Stoppzeichen, wie z. B. ".{ " und M } h reali- 
siert werden. Diese Start- und Stoppzeichen diirfen im be- 
troffenen System auBer zur Kennzeichnung verschliisselter 
Daten nicht verwendet werden. Dieser Ansatz hat den Vor- 30 
teil, daB er unabhangig von den Anwendungeri, die auf den 
Daten operieren, ist. 

Gibt es im betrachteten System kein einziges eindeutiges 
Startzeichen, kann eine Menge von Startzeichen verwendet 
werden. Gleiches gilt fur das Stoppzeichen. Im einfachsten 35 
Fall konnte die Menge der Startzeichen aus einem Zeichen 
bestehen, welches mit dem Stoppzeichen identisch ist. Dies 
hat allerdings wiederum den Nachteil, daB eine Synchroni- 
sierung in einem Fehlerfall alleine aufgrund der Kenntnis 
von Start- und Stoppzeichen nicht mehr moglich ist. 40 

DaS/erfindungsgemaBe Verfahren wird im folgenden an- 
hand von verschiedenen Beispielen mit Bezug auf die beige- 
fiigten Abbildungen naher erlautert: 

Fig. 1 zeigt die Kennzeichnung von sensiblen, zu anony- 
misierenderi Daten; 45 

Fig. 2 zeigt das Ablaufschema einer Ver- bzw. Entschliis- 
selung; 

Fig. 3 zeigt den Ablauf eines Verschliisselung sprozesses; 

Fig. 4 zeigt die Struktur eines verschliisselten Datenfel- 
des; 50 

Fig. 5 zeigt den Ablauf eines Entschlusselungsprozesses. 

Das Anonymisierungsverfahren soil folgende Anforde- 
rungen erfiillen: 

1. Haufig vorkommende Daten (z. B. die haufig auftre- 55 
tenden Namen Miiller, Meier usw. im deutschen 
Sprachraum) sollen verschieden verschlusselt werden. 
Dadurch soli verhindert werden, daB iiber die Analyse 
der Haufigkeit von Daten Schlusse auf die Daten selbst 
gezogen werden konnen. Die Isonomien der Daten sol- 60 
len aufgelost werden. 

2. Die Lange eines zu verschliisselndes Datenf elds ist 
durch 1 eine fixe, maximale Lange beschrankt, die im 
wesentlichen durch das Datenbank-Design vbrgegeben 
ist. Feldtypen, z. B. numerisch 5 oder alphanumerisch 65 
diirfen nicht verandert werden. Diese Anforderung er- 
moglicht eine nachtragliche Integration des' Verfahrens, 

' ohne daB ein Betreiber eines Datenb an ksys terns seine 
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Anwendungen zur Verarbeitung der Daten verandem 
muB. 

3. Jedes verse hliisselte Datenfeld enthalt alle Informa- 
tionen auBer Schliissel und systemweife Parameter, zur 
Entschliisselung. Ein autarkes Verarbeiten jedes Daten- 
feldes ist deshalb moglich. 

Die vorgenannten drei Eigenschaften sollen von dem ge- 
wahlten Anonymisierungsverfahren gleichzeitig erfiillt wer- 
den. 

Zur Durchfuhrung des Verfahrens wird das zu anonymi- 
sierende Datenfeld zunachst auf seinen Fullgrad hin iiber- 
priift. Es muB sichergestel^lt werden, daB nach der Verschliis- 
selung noch geniigend Platz innerhalb der vorgegebenen fe- 
sten Datenf eldlange verbleibt, um ein Start- so wie ein 
Stoppzeichen und eine Information fur den verwendeten 
Schliissel abzulegen. 

Ist der Fullgrad des Datenfeldes zu groB um eine Ver- 
schliisselung mit den vorgenannten Kriterien durchfiihren 
zu konnen, wird das Datenfeld zunachst komprimiert. Fiihrt 
auch die Komprimierung des Datenfeldes nicht zu einer hin- 
reichend kleinen FeldgroBe, erfolgt die Pseudonymisierung. 
Das Pseudonym mufi so gewahlt werden, daB die oben unter 
2.) vorgegebene Bedingung hinsichtlich dts Fiillungsgrades 
des Datenfeldes erfiillt wird. . 

Ist der Fullgrad des Datenfeldes hinreichend gering, um 
eine Verschliisselung des Datenfeldes zu ermoglichen, wird 
die Verschliisselung vorgenorrimen. Dafiir wird das Daten- 
feld zunachst bis zum maximal moglichen -Fullgrad mit zu- 
falligen Werten aufgefiillt. 

Bei geringem Informationsgehalt des Datenf elds kann vor 
der Auffullung eine Datenkomprimierung vorgenommen 
werden, um Isonomien besser auflosen zu konnen. 

AnschlieBend wird die Verschliisselung vorgenommen. 
Der verwendete Verschliisselungsalgorithmus kann beliebig 
gewahlt werden. Gangige Algorithmen sind z, B. IDEA (In- 
ternational Data Encryption Algorithm) oder DES (Data En- 
cryption Standard). 

Das verschliisselte Datenfeld wird dann mit einem Start- 
und einem Stoppzeichen gekennzeichnet. AuBerdem wird 
im Datenfeld an einer vorher definierten Position eine Infor- 
mation iiber den zur Verschliisselung verwendeten Schliissel 
abgelegt. 

Das nachfolgende Beispiel soil das Verfahren veran- 
schaulichen: 

Die Datenf eldlange betragt 40 Zeichen. Inhalt des unver- 
schlusselten Datenfeldes. ist der Name "Meier". Als Startzei- 
chen dient " { ", als Stoppzeichen " }". Das Datenfeld wird auf 
die voile Feldlange aufgefiillt und mit Start- und Stoppzei- 
chen versehen, also: 

{Meier. . .}. 

An das Verfahren werden die 40 Zeichen zwischen den 
Start- und Stoppzeichen iibergeben. Die Verschliisselung er- 
gibt dann ein 40 Zeichen langes Datenfeld einschlieBlich 
Start- und Stoppzeichen, also z. B.: 

{ch74nHhdjqa. . .yjas8}. 

In den verse hlusselten Datenfeldern sind k Bits zur Kenn- 
zeichnung des verwendeten Schliissels aus einem Schliissel- 
satz vorgesehen. Somit ist es moglich, 2 k verschiedene 
Schliissel darzustellen. Durch die Aufnahme von Zusatzin- 
formationen in die verschliisselten Datenfelder, wie z. B. 
Menge von Start- und von Stoppzeichen, Schlusselbits und 
Informationen iiber den verwendeten Initialisierungssektor 
fur den Verschliisselungsalgorithmus ist eine Komprimie- 
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rung der zu verschliisselnden Datenfelder notwendig. 

In der beigefugten Fig. 2 ist die Ver- bzw. Entschliisse- 
lung von Datenfeldern dargestellt. Die einzelnen Schritte 
werden nachfolgend naher erlautert. 

Die Beschreibung des Verfahrehs geht von den folgenden 5 
Voraussetzungen.aus: 

■ - Jedes Zeichen wird durch ein Byte dargestellt (z. B. 
ASCII- oder EBCDIC-Code). Vor der Ver- bzw. Ent- 
schlusselung werden alle Zeichen eines Feldes in einen 10 
internen Zeichensatz (ASCII) umgewandelt und da- 
nach wieder entsprechend konvertiert. 

- Die unterschiedlichen Parameter sind wie folgt fest- 
gelegt: 

1. einen Zeichensatz (z. B. 91 bestimmte Zeichen 15 
des EBCDIC-Codes); 

2. eine Menge der Startzeichen und Stoppzeichen 
fur verschlusselte Datenfelder, die nicht im Zei- 
chensatz enthalten sind; 

3. ein Ersatzzeichen fur nicht zum Zeichensatz 20 
. gehorende Zeichen (ist Bestandteil des Zeichen- 

satzes); 

4. ggf. notwendige Fiillzeichen (ist Bestandteil 
des Zeichensatzes); 

5. Verfahrensparameter fur die Kompression; 25 

6. Angaben dariiber, wie bei nicht erfolgreicher 
Komprimierung das ursprungliche Datenfeld . 
nachverarbeitet werden soil; 

7. Angaben zur Darstellung von Bitfolgen als 
Folgen zulassiger Zeichen; . 30 

8. Angaben dariiber, welcher der Schlussel aus 
dem Schliisselsatz verwendet werden soli. 

In Abhangigkeit von der Machtigkeit des Zeichensatzes 
lassen sich einzelne Bitsegmente jeweils zu Zeichenfolgen 35 
einer bestimmten Lange umformen (zum Beispiel konnen 
bei einem Zeichensatz von 91 Zeichen je 13 Bit in je 2 Zei- 
chen effektiv umgeformt werden). Optimal ware eine "ge- 
meinsame" Umformung der gesamten Bitfolge durch Be- 
trachtung der Folge als Binarzahl und Darstellung dieser 40 
Zahl zur Basis b = Machtigkeit des Zeichensatzes. 

Im folgenden wird ein Verfahren zur effektiven Codie- 
rung einer moglichst groBen Bitfolge in ein Datenfeld einer 
vorgegebenen Lange beschrieben, das fur eine Implementie- 
rung auf Systemen mit 32-Bit-Prozessoren vorgesehen ist. 45 
Zunachst wird fur einen gegebenen Zeichensatz vom Urn- 
fang b vor der Grundinitialisierung einmalig folgendes be- 
rechnet ("In" bezeichnet hierbei den naturlichen Logarith- 
mus): 

50 

- Bestimmung des Miriimalwertes von x/y fur ganz- 
zahliges y von 1 bis 32 und ganzzahliges x > y • In(2)/ 
In(b). 

Beispiel: Bei b = 91 erhalt man ein Minimum bei x = 2 
und y = 13. 55 

- Fur alle Werte x' von 1 bis x-1 wird das jeweilige 
ganzzahlige Maximum y'(x') mit y'(x') • In(2)In(b) < 
x* berechnet. AuBerdem wird y'(0): = 0 gesetzt. 
Beispiel: Bei b = 91 und x = 2 erhalt man y'(l) = 6. 

60 

Es laBt sich nun folgendermaBen eine Bitfolge in ein Da- 
tenfeld der Lange d umformen: 

1 . Umformung von je y Bit in je x Zeichen. 

Beispiel: Bei b = 91 werden je 13 Bit durch je 2 Zei- 65 
chen dargestellt. 

2. Falls die gegebene Datenfeldlange d nicht durch x 
teilbar ist, dann werden y'(x') Bit in die restlichen x T 
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Zeichen umgeformt. Im Beispiel werden noch 6 Bit 
durch ein Zeichen dargestellt. 

Bei s die Anzahl der verwendeten Startzeichen in den ver- 
schliisselten Datenfeldern und 

L(d, b, s) = L = ((d-s-l)DIV x) ; y + y'((d-s-l) MOD x) 

die Anzahl der Bits, die sich durch Anwendung des obigen 
Verfahrens in ein Datenfeld der Lange (d-s-1) umformen 
lassen. Der Wert (d-s-1) resultiert daraus, daB im verschliis- 
selten Datenfeld die Menge der Startzeichen der Lange s 
und das Stoppzeichen enthalten sein mussen. 

Bei d = 30, b = 91 und s = 1 erhalt man zum Beispiel L = 
1 4 • 1 3 + 0 = 1 82, bei d = 1 5 , b = 9 1 und s = 3 ergib t sich L = 
5 ■ 13 + y'(l) = 65 + 6 = 71, 

m = (L-k-Lange komprimierte Bitfolge) sei, die nach der 
Kompression noch zur Verfugung stehenden Bits, k Bits 
sind fiir die Nummer des verwendeten Schliissels vorgese- 
hen. Fiir die Kompression konnen die verschiedensten Me- 
thoden eingesetzt werden. In Abhangigkeit von dieser Zahl 
m wird festgelegt, wie der Initialisierungsvektor fur die Ver- 
schliisselung bereitgestellt und codiert wird. 

Die geeignete Wahl des Initialisierungsvektors sorgt da- 
fur, daB Isonomien aufgelost werden. Es gibt hierfur prinzi- 
piell die folgenden Moglichkeiten, die eingesetzt werden 
konnen: 

- Verwendung von Zufallszahlen 

- Verwendung von Zahlern. 

Zeitlich gestaffelt konnen verschiedene Schliissel des aus 
k Schliisseln bestehenden Schiiisselsatzes eingesetzt wer- 
den. Bei der Verschlusselung ist festzulegen, welcher dieser 
Schliissel verwendet werden soil. Die Schliisselnummer 
wird durch k Bits kodiert. 

Wenn die aus k Bits fur die Nummer des Schliissels, den 
Bits fiir die Codierung des Initialisierungsvektors und den 
Bits des komprimierten Datenfeldes bestehende Bitfolge 
kiirzer als erforderlich sein sollte, d. h. kleiner als L ist, so 
wird sie am Ende mit Bits "0" aufgefiillt, bis die maximal 
zulassige Bitlange L erreicht ist. 

Verschliisselt wird der komprimierte Datenfeldinhalt. 

Die Verschlusselung kann mit einem Blockverschliissel- 
ungsalgorithmus erfolgen und dem gespeicherten geheimen 
Schliissel im CBC-Modus, wobei der letzte Block der Lange 
j (falls diese kiirzer als 64 Bit ist) im CFB -Modus verschliis- 
selt wird (siehe z. B. ISOflEC 10116, Informations Techno- 
logie - Modes of Operation for ann-bit Block Cipher Algo- 
rithm, 1991). 

Bei der Betrachtung wird davon ausgegangen, daB die ty- 
pische Blocklange von 64 verwendet wird. Eine Verallge- 
meinerung auf andere Blocklangen ist offensichtlich. Eine 
andere Variante, die sog. Stromverschlusselungsalgorith- 
men, konnten direkt zur zeichenweisen Verschlusselung ein- 
gesetzt werden. 

Zur Bildung des verschlusselten Datenfeldes wird 
schlieBlich die erhaltene Zeichenfolge zwischen der Menge 
Startzeichen und dem Stoppzeichen eingefugt. 

Sobald im Datenstrom die Startzeichenfolge erkannt 
wird, werden die nachfolgenden Zeichen in einen internen 
Speicher gegeben, bis das Stoppzeichen erscheint. 

Falls sich unter den nachfolgenden Zeichen die Startzei- 
chenfolge befindet, wird der ProzeB der Einspeicherung ab- 
gebrochen und bei der neuen Startzeichenfolge begonnen. 
Falls nach einer vorgegebenen Maximallange noch kein 
Stoppzeichen festgestellt wurde, wird der ProzeB ebenfalls 
abgebrochen und es wird erneut nach der nachsten Startzei- 
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chenfolge gesucht. Falls zwischen der Menge Startzeichen 
und dem Stoppzeichen weniger als eine vordefinierte untere 
Schranke Zeichen sind, wird die Einspeicherung ebenfalls 
abgebrochen. 

Nicht jedes Datenfeld kann so stark komprimiert werden, 5 
daB die angestrebte Anzahl Bits fiir den Initialisierungsvek- 
tor zur Verfiigung steht. Je kiirzer die Datensatzlange ist, de- 
sto schlechter ist die Komprimierung, mit der Konsequenz, 
daB weniger Bits fur den Initialisierungsvektor zur Verfii- 
gung stehen und somit weniger Mbglichkeiten verschiedene 10 
Chiffrate fur ein Datenfeld zu erzeugen. 

In einem solchen Fall gibt es prinzipiell die folgenden 
drei Moglichkeiten fortzufahren: 

1. Kurzung des Datenfeldes bis eine ausreichende 15 
Komprimierung erreicht werden kann. Dies ist aber 
zwangslaufig mit Informationsverlust verbunden. 2. 
Das betroffene Datenfeldes wird nicht verschliisselt, es 
wird somit in Klartext bleiben. Dies kann mbglicher- 
weise akzeptabel sein, falls dies im Verhaltnis zu der 20 
gesamten Menge zu verse hliisselten Datenf elder sehr 
selten vorkommt. 

3. Verwendung des Pseudonymisierungsansatzes, die- 
ser wird im. folgenden beschrieben. 

25 

Bei vorgegebener fester Feldlange, kann der Fall eintre- 
ten, daB keine ausreichende Komprimierung der Datensatze 
erreicht werden kann. Ist eine Kurzung oder das Weiterlei- 
ten in Klartext nicht akzeptabel, so kann die vollstandige 
"Verschleierung" aller ausgewahlten Datensatze, durch den 30 
Pseudonymisierungsansatz realisiert werden. 

Analog zu einem Alias, erfolgt eine Verknupfung von Da- 
tenfeldern und Pseudonymen und vice versa. Die Informa- 
tionen werden in einer Tabelle gehalten. 

35 

Leutheusser-Schnarrenberger ^ X1BXE. . .H 
Garmisch-Partenkirchen X2BXD9. . Z 

Falls die Pseudonymisierurig an mehreren raumlich ge- 
trennten Orten notwendig ist, miissen die an alien Standor- 40 
ten vergebenen Pseudonyme an alien anderen Standorten 
vorgehalten werden (Replikation). Dies bedeutet zusatzliche 
Kommunikationskosten. Es sind zusatzliche MaBnahmen 
ziir Sicherung der Ubertragung notwendig. 

Die Speicherung von verschliisselten Datenfeldern kann 45 
iiber langere Zeitraume, z. B. 5-15 Jahre, erfolgen. Die zeit- 
lich gestaffelte Verwendung von mehr als einem Schlussel 
ist aus den folgenden Griinden ratsam: 

- Wird der Schlussel bekannt, ist die gesamte Menge 50 
der. verschliisselten Datenfelder als ofFengelegt zu be- 
trachten. 

- Die einem Krypto-Analysten zur Verfiigung ste- 
hende Menge von verschliisselten Datenfeldern, ist we- 
sentlich geringer, wenn mehrere Schlussel verwendet 55 
werden. 

Deshalb sieht das Verfahren pro Menge von Datenbank- 
nutzern, die kooperieren, k Schlussel vor. 

In einem Trust Center (vertrauenswiirdige dritte Instanz), 60 
welches . das notwendige technische und organisatorische 
Umfeld stellt, konnen die Schlussel generiert werden. Ver- 
schiedene Mengen vori Datenbanknutzern, die nicht mitein- 
ander kooperieren, soil ten verschiedene Mengen von 
Schlusseln haben, die keinerlei Abhangigkeit von eiriander 65 
haben. So ist ausgeschlossen, daB eine Menge von Daten- 
banknutzern auf Datenbankinformationen der anderen 
Menge von Datenbanknutzern zugreifen kann. Das Key Ma- 



176 A 1 

8 

nagement besteht aus folgenden Funktionen: 

1. Schlusselerzeugung 

Erzeugung eines Schliisselpaktets aus k Schlusseln. 
Hierfur eignet sich besonders ein Hardware Zufallszah- 
lengenerator. Im Nachgang der Schlusselerzeugung 
konnen die generierten Schlussel auf ein Schliisselauf- 
bewahrungsmedium, z. B. eine Chip- oder PCMCIA- 
Karte, gespeichert werden. Diese Medien konnen so 
konfiguriert werden, daB sie die kryptographischen Be- 
rechnungen selbst ausflihren oder Schlussel erst nach 
vorheriger Authentisierung herausgeben. 

2. Schliisselverteilung 

Vom Ort der Schlusselgenerierung konnen die Schliis- 
sel auf einem Schlusselaufbewahrungsmedium zum 
Einsatzort (Endgerat) oder zur sicheren Aufbewahrung 
(Backup) transportiert werden. 

3. Schlussel in Endgerate einbringen 
Ein Endgerat zeichnet sich dadurch aus, daB es die not- 
wendigen Ver- bzw. Entschliisselungsprozesse ausfiih- 
ren kann. Ein solches Gerat kann eine spezieli entwik- 
kelte Hardware oder ein PC sein. Die Schlussel konnen 
aus dem Schlusselaufbewahrungsmedium nach vorhe- 
riger Authentisierung in ein Endgerat geladen werden 
oder das Endgerat kann Auftrage zur Ver- und Ent- 
schliisselung entgegennehmen. Der letzte Fall setzt 
eine entsprechende Ressource des Schliisselaufbewah- 
rungsmediums voraus, hat aber der Vorteil, daB die 
Schlussel nie das SchliisselauftewahrungsmediumVer- 
lassen. 

4. Schlussel vernichten 

Falls ein kooperierende Menge von Datenbanknutzern 
ein Schlusselpaket aus k Schlusseln nicht mehr beno- 
tigt, ist es moglich, die Schlussel durch geeignete MaB- 
nahmen. zu vernichten, z. B. durch Vernichtung des 
Schliisselaufbewahrungsmediums und Loschen des, 
Schliisselpakets aus den entsprechenden Eridgeraten, 
falls vorhanden. 



Patentanspruche 

1. Verfahren zur Anonymisierung sensibler Daten in- 
nerhalb eines Datenstroms mit den folgenden Schrit- 
ten: 

a) Anonymisierung des sensiblen Datenfeldes. 

b) Kennzeichnung des anonymisierten sensiblen 
Datenfeldes innerhalb des Datenstroms durch 
Start- und Stoppzeichen. 

2. Verfahren nach Anspruch 1, dadurch gekennzeich- 
net, daB vor der Anonymisierung eine Komprimierung 
des sensiblen Datenfeldes stattfindet. 

3. Verfahren nach Anspruch 1 oder 2, dadurch gekenn- 
zeichnet, daB das. sensible Datenfeld vor der Anonymi- 
sierung durch Fullzeichen aufgefiillt wird. 

4. Verfahren nach einem der Anspruche 1 bis 3, da- 
durch gekennzeichnet, daB die zu anonymisierenden 
Daten pseudonymisiert werden. 

5. Verfahren nach einem der Anspruche 1 bis 3, da- 
durch gekennzeichnet, daB die zu anonymisierenden 
Daten verschliisselt werden. 

6. Verfahren nach Anspruch 5, dadurch gekennzeich- 
net, daB sensible Datenfelder vor der Verschlusselung 
zumindest teilweise mit zufalligen Werten aufgefiillt 
werden. 

7. Verfahren nach Anspruch 5 oder 6, dadurch gekenn- 
zeichnet, daB im verschliisselten Datenfeld Informatio- 

. nen iiber den zur Verschlusselung verwendeten Schliis- 
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sel abgelegt werden. 

8. Verfahren nach einem der Anspriiche 1 bis 7, da- 
durch gekennzeichnet, daB das sensible Datenfeld eine 
feste Feldlange aufweist. 

5 

Hierzu 4 Seite(n) Zeichnungen 
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